海归论坛 :: 阅读主题 - 海龟网privacy设置剖析--送给CHU及其他同学。（楚楚不能上贴的真正原因及解决办法见内）

论坛首页 | 排行榜 | 在线私聊 | 专题 | 版规 | 搜索 | RSS | 注册 | 活动日历


主题: 海龟网privacy设置剖析--送给CHU及其他同学。（楚楚不能上贴的真正原因及解决办法见内）

海归论坛首页 -> 海归商务焦点讨论 | 精华区 | 嘉宾沙龙 | 白领丽人沙龙

分屏

表形显示

阅读上一个主题 :: 阅读下一个主题

作者

海龟网privacy设置剖析--送给CHU及其他同学。（楚楚不能上贴的真正原因及解决办法见内）

mmpower
[博客]
[个人文集]

头衔: 海归少将
声望: 专家
性别: 性别:男

加入时间: 2004/02/24
文章: 3697
来自: 3333
海归分: 244825

标题: 海龟网privacy设置剖析--送给CHU及其他同学。（楚楚不能上贴的真正原因及解决办法见内） (1892 reads) 时间: 2004-4-07 周三, 08:04

作者：mmpower 在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

喜欢楚楚的文笔，大气豪爽有女中豪杰的味道。可一个多月前正读着<<楚楚闯世界：芝加哥历险记>>，突然轰的一声一片漆黑，不省人事。等醒过来，震后的归网已不见伊人，空余惆怅...

后来看了chu,山姆,大友等在归坛和中国缘的讨论，方知才女尚在，不能发信只因顾虑新归网偷去隐私。好你个老狼竟敢窃取俺偶像隐私，这还了得，MMPOWER誓要为chu MM逃回公道！于是乘今天有空着手调查归网罪证，报告如下：

1。 cookie

许多网站确实用小饼干来获得用户隐私，不排除归网也有这个可能，于是测试：
(1) 检查persistent cookies:

方法很多，如用一些firewall软件或一些http filter软件等。我的结论是归网没有设可用于窃取隐私的cookie. 事实上只设了一个session cookie。用wget看一下www.haiguinet.com的http header, 可以看到：



--21:27:14--  https://www.haiguinet.com:80/


           => `index.html.3'


Connecting to www.haiguinet.com:80... connected!


HTTP request sent, awaiting response... 200 OK


2 Server: Microsoft-IIS/5.0


3 Date: Wed, 07 Apr 2004 01:30:43 GMT


4 X-Powered-By: ASP.NET


5 Connection: Keep-Alive


6 Content-Length: 2643


7 Content-Type: text/html


8 Set-Cookie: ASPSESSIONIDACQAQBBS=OJDGBHEAIPOBGNOICFLALAFP; path=/


9 Cache-control: private


10





    0K -> ..                                                     [100%]

在第八行www.haihuinet.com发了一个cookie "ASPSESSIONIDACQAQBBS", 内容是“OJDGBHEAIPOBGNOICFLALAFP”。这是个ASP session cookie，用来维护server内部状态－－一旦你sign in, IIS Web server用这个cookie保持你“已经登陆”的信息。若没有session control,用户每发一个帖子就要登陆一次. 这个cookie不涉及任何隐私数据。

这也是论坛唯一的一个cookie. 如果你用IE 6.0等有cookie control的浏览器，可以自己验证一下－－假设你用英文ie6:
(1) on IE, go to "tools-->internet options-->privacy-->advanced", select the checkbox "override automatic cokie handling", then select "prompt" for first party and third party cookie. also UN-CHECK "always allow session cookies)

（2）关闭你的firewall (zone alarm etc)或在firewall内开放www.haiguinet.com的限制

(3) go to www.haiguinet.com, IE will prompt you that the server is sending you a cookie and ask you if you reject or accept everytime a new cookie is sent to the browser. If you accept it the first time, it won't ask you again. if you deny, it will ask you everytime you open a new link in haiguinet.com-- all about the same cookie(you can check the cookie detail by clicking the "more info" button.

干吗非得用cookie，不用不行吗？答案是yes and no. 不用cookie是可行的，但session management通常就得用Url Rewritting -- 将session info写到URL地址上。haiguinet.com is using ASP, (a piece of M$ junk Smile

) which will be quite a tedious work if writting the code from scrach 。另外我想唐和完颜王爷可能用了一个现成framework，也不好改。其实根本也没必要改呀。

如果disable了sesion cookie,用户登陆时会停留在login页面上进不去。

说了半天，只是告诉楚楚cookie不是大问题，但还没说到正点上－－楚楚上不了贴的真正原因不是因为cookie. 因为根据她的描述，她可以login, 但log in 后看到的是类似
“请在本网站提交网页!返回首页”的一行字。如果她disable了sesion cookie,她不会看到这行字的，而只会停留在login页面上。

所以mmpower继续调查，

（2）HTTP header

有一些HTTP header也可被用于搜集隐私问题。www.haiguinet.com/login.asp longin 时的 http request and repsonse header 信息如下：



   request:





   accept connection ... scan: POST /login.asp HTTP/1.0


   scan: Accept: image/gif, image/x-xbitmap, image/jpeg,    image/pjpeg, */*


   scan: Referer: https://www.haiguinet.com/login.asp


   scan: Accept-Language: zh-cn,en-us;q=0.5


   scan: Content-Type: application/x-www-form-urlencoded


   scan: Proxy-Connection: Keep-Alive 


   scan: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;   Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)     default


  scan: Host: www.haiguinet.com





  response:


  scan: Content-Length: 65


  scan: Pragma: no-cache


  scan: Cookie:   ASPSESSIONIDACQAQBBS=PCPFBHEAEKBFLJOMBDGALENI


  addh: Cookie: ASPSESSIONIDACQAQBBS=PCPFBHEAEKBFLJOMBDGALENI

敲累了。长话短说，haiguinet.com 检查 HTTP request 中的 “referer" header, 这个header 由browser发给web server, 告诉服务器这个request从哪个页面发起. 坏网站常用之探测用户在访问他的网站前访问的是何网址。但好网站也常用它维护网站和用户安全，防止不法分子劫持网站、冒充用户。我相信海龟网是后者－－因为从我的测试来看，海龟网要求login的http request的referer header的值必须包含"www.haiguinet.com", 也就是说必须是从海龟王页面上login 来的而不是黑客在运行一个自动猜口令的程序。若非来自haiguinet.com则显示楚楚看到的那行字并拒绝登陆。

而楚楚的zone alarm 开着时很可能去掉了"referer"header,或修改了referer header 's value. 这样就不能登陆了。在zone alarm /zone alarm pro 的privacy 控制面板上有一个类似
"remove private header information"的选项，若选了就会删除referer header造成上述问题。

我想这是真正原因。

（3）另外一个可能性是proxy 问题。许多zone alarm一类的软防火墙is buggy when working with proxy servers. 但我想这应不是chu 的 case.

费了一晚上劲，结果给老狼疯唐王爷们平凡了 55555 ：）

在此声明，MMPOWER与海龟网及其创始/维护者没有任何关系。

所以楚楚同学/教官，放心回来军校吧！芝加哥历险记还没读完呢，期待中。。。

作者：mmpower 在海归商务发贴, 来自【海归网】 http://www.haiguinet.com

相关主题
我为什么不来海龟网了：意淫者天堂与暗杀者的乐园（或许海龟会成为像愤青一样的...	海归论坛	2005-3-12 周六, 23:52
海归网上新浪新闻了，京华时报写得。（空）	海归主坛	2009-5-29 周五, 12:53
喜迎海龟网复盘：-）	海归主坛	2020-6-30 周二, 12:07
论坛通告点击率远不如置顶：2010海龟网人口普查建议置顶	海归主坛	2010-3-15 周一, 12:33
力拓铁矿石中国业务总经理胡士泰（资料ZT）这标准海龟的事，海龟网怎么没人提呢？	海归主坛	2009-7-20 周一, 09:46
[分享] 海龟网房事正热，看潘石屹暴北京新地王内幕	海归主坛	2009-7-06 周一, 12:02
海龟网为什么这么吃内存？	海归主坛	2008-5-21 周三, 17:41
那天偶然看了看华夏文摘，觉得内容整理得还是比海龟网好。	海归主坛	2007-7-12 周四, 00:29